電網(wǎng)信息安全情報集中管控平臺研究與建設(shè)

◆肖 鵬蘇永東張 睿宋 春

（1.云南電網(wǎng)有限責(zé)任公司信息中心 云南 650217; 2.云南云電同方科技有限公司 云南 650217）

電網(wǎng)信息安全情報集中管控平臺研究與建設(shè)

◆肖 鵬1蘇永東1張 睿2宋 春2

（1.云南電網(wǎng)有限責(zé)任公司信息中心 云南 650217; 2.云南云電同方科技有限公司 云南 650217）

隨著信息安全漏洞日益增多，大量電力企業(yè)均采購了信息安全漏洞掃描系統(tǒng)，以支持信息安全防護(hù)工作。本文在對國內(nèi)某電力企業(yè)在信息安全漏洞管理調(diào)研的基礎(chǔ)上，識別出現(xiàn)大型電力企業(yè)在漏洞管理和威脅情報利用方面面臨的困境，有針對性的設(shè)計并開發(fā)了電網(wǎng)信息安全情報集中管控平臺,實現(xiàn)對任意安全情報的統(tǒng)一收集、自動化應(yīng)用與閉環(huán)管控，并針對平臺后續(xù)深入應(yīng)用給出了研究方向。

統(tǒng)一信息存儲檢索; 信息安全漏洞; 微服務(wù); 電網(wǎng)企業(yè); 威脅情報

0 引言

隨著新型漏洞和攻擊的不斷增長，信息安全面臨嚴(yán)峻挑戰(zhàn)。在信息安全工作中，大量單位還在采用郵件、短信、通知等方式對下屬分子公司進(jìn)行漏洞和威脅情報通報。但從近兩年信息安全形勢來看，各種漏洞頻發(fā)，通報各單位響應(yīng)時間周期較長，然而黑客利用漏洞的技術(shù)越來越成熟，時間短攻擊快，利用通報過程中的時間窗口進(jìn)行快速攻擊，可造成電網(wǎng)不可估量的損失。并且分子公司由于技術(shù)力量薄弱等原因，不能及時、準(zhǔn)確地對漏洞進(jìn)行分析、驗證和管理，導(dǎo)致黑客可以利用漏洞進(jìn)行攻擊等。這對于電網(wǎng)企業(yè)的信息系統(tǒng)安全防護(hù)是一個極大的安全隱患。

對此，開展信息安全漏洞集中管控平臺研究與建設(shè)，能夠有效提升漏洞獲取效率、快速進(jìn)行評估分級并處理、獲取威脅情報提前防護(hù)，對于電網(wǎng)企業(yè)信息安全防護(hù)水平的提升具有重要意義

1 國內(nèi)外研究現(xiàn)狀

國外發(fā)達(dá)國家高度重視信息安全漏洞的管理及控制工作，早在20世紀(jì)70年代就開展了針對漏洞的相關(guān)研究。隨著參與研究的組織越來越多，漏洞數(shù)據(jù)庫也逐步建立，如知名的CVE漏洞庫、NVD漏洞庫、US-CERT漏洞庫等。隨著互聯(lián)網(wǎng)的發(fā)展和漏洞數(shù)量的快速增長，我國也建立了一定數(shù)量的漏洞庫，包括國家漏洞庫和各信息安全企業(yè)自行建立的漏洞庫。由于漏洞庫的管理機(jī)構(gòu)不同，對漏洞的分類、屬性說明、級別說明、命名等均沒有統(tǒng)一規(guī)范，電網(wǎng)企業(yè)在面對海量的漏洞信息和龐大的信息系統(tǒng)時，缺少有效的漏洞管控手段。

近年來，隨著威脅情報理念及應(yīng)用的發(fā)展，企業(yè)不單需要跟蹤修復(fù)漏洞，還需要了解相關(guān)的攻擊手法、攻擊者信息等情報以進(jìn)行全面防護(hù)。威脅情報的描述不但包含漏洞信息，而且比漏洞信息的內(nèi)容更加豐富和靈活。如何有效的對信息安全情報進(jìn)行統(tǒng)一收集、跟蹤與管理，對于信息系統(tǒng)規(guī)模較大和對信息安全更為敏感的電網(wǎng)企業(yè)來說，是一項巨大的挑戰(zhàn)。

2 電網(wǎng)信息安全情報集中管控平臺研究

2.1 平臺總體架構(gòu)設(shè)計

電網(wǎng)信息安全情報集中管控平臺的主要功能在于自動化的采集主要漏洞庫和威脅情報發(fā)布機(jī)構(gòu)的歷史與更新信息，利用情報中的信息結(jié)合內(nèi)網(wǎng)資產(chǎn)情況，形成活躍/高危漏洞庫，并通過一系列的流程實現(xiàn)高危漏洞的發(fā)布、通報、預(yù)警、整改及復(fù)核的威脅全生命周期管理[1]。

2.1.1 技術(shù)架構(gòu)體系設(shè)計

考慮到信息安全情報的內(nèi)容格式仍然在不斷演化，發(fā)布機(jī)構(gòu)的增加、影響IT設(shè)備種類也不斷增加。這種功能、性能快速變化的應(yīng)用場景難以通過傳統(tǒng)的IT架構(gòu)實現(xiàn)快速上線與快速擴(kuò)展。

通過應(yīng)用微服務(wù)架構(gòu)，系統(tǒng)中的各個微服務(wù)可被獨立部署，各個微服務(wù)之間是松耦合的。服務(wù)之間互相協(xié)調(diào)、互相配合，為用戶提供最終價值。每個服務(wù)運行在其獨立的進(jìn)程中，服務(wù)與服務(wù)間采用輕量級的通信機(jī)制互相溝通（通常是基于HTTP協(xié)議的RESTful API）。每個服務(wù)都圍繞著具體業(yè)務(wù)進(jìn)行構(gòu)建，并且能夠被獨立的部署到生產(chǎn)環(huán)境、類生產(chǎn)環(huán)境等。每個微服務(wù)僅關(guān)注于完成一件任務(wù)并很好地完成該任務(wù)。在所有情況下，每個任務(wù)代表著一個小的業(yè)務(wù)能力。

圖1 傳統(tǒng)IT架構(gòu)與微服務(wù)架構(gòu)對比圖

在電網(wǎng)信息安全漏洞集中管控平臺的建設(shè)中，應(yīng)用微服務(wù)架構(gòu)一方面能夠?qū)⒃泄δ塥毩⑿纬晌⒎?wù)，避免展現(xiàn)、業(yè)務(wù)和數(shù)據(jù)存取的深度關(guān)聯(lián)，開發(fā)人員通過統(tǒng)一的接口各自完成相關(guān)邏輯的開發(fā)，也實現(xiàn)了開發(fā)團(tuán)隊小型化、高效化、語言的靈活化。另一方面對于性能擴(kuò)展更加靈活，對于負(fù)載較大的微服務(wù)可以單獨進(jìn)行擴(kuò)展，避免原有架構(gòu)下對整套功能的擴(kuò)展，提升了資源利用效率[2]。

2.1.2 統(tǒng)一信息存儲檢索架構(gòu)設(shè)計

隨著互聯(lián)網(wǎng)規(guī)模的幾何級數(shù)的增長,信息安全日益成為威脅網(wǎng)絡(luò)正常運行的主要問題。電網(wǎng)信息安全情報集中管控平臺中，將收集各類安全信息，包括但不限于日志信息、安全掃描信息、威脅信息、流量分析信息，這些信息格式多樣、數(shù)量巨大，并且相互關(guān)聯(lián)。

通過應(yīng)用Elastic Search作為存儲平臺，能夠滿足威脅情報收集的全面性的續(xù)期，實現(xiàn)海量多元異構(gòu)數(shù)據(jù)的存儲，并對上層分析應(yīng)用提供統(tǒng)一的數(shù)據(jù)獲取接口，屏蔽多來源、多格式信息檢索的復(fù)雜性，提升檢索效率，解決傳統(tǒng)數(shù)據(jù)庫引擎面對多源異構(gòu)海量數(shù)據(jù)檢索效率極低的問題。

2.2 平臺功能設(shè)計

2.2.1 平臺業(yè)務(wù)流程

平臺的業(yè)務(wù)流程如圖2所示。

信息安全情報分為內(nèi)部情報和外部情報，內(nèi)部情報支持規(guī)則、檢測工具自動產(chǎn)生，外部情報支持手工錄入或接口自動獲取，在錄入情報信息的時候，可以關(guān)聯(lián)到受影響的資產(chǎn)[3]。

（1）內(nèi)部情報收集

根據(jù)系統(tǒng)各監(jiān)測掃描組件報告、流量檢測分析結(jié)果結(jié)合日志分析結(jié)果，進(jìn)行匯總與格式化處理，便于提供給威脅分析模塊進(jìn)行專項分析。利用規(guī)則管理實現(xiàn)規(guī)則的設(shè)置，結(jié)合檢索調(diào)度管理實現(xiàn)根據(jù)規(guī)則進(jìn)行定期收集。

圖2 平臺業(yè)務(wù)流程

（2）外部情報收集

從手工錄入接口、威脅交換信息導(dǎo)入接口和網(wǎng)絡(luò)爬蟲接口輸入或主動檢索威脅信息。手工錄入接口提供向?qū)降耐獠客{情報錄入模式，引導(dǎo)相關(guān)人員完成外部威脅情報的錄入，有效對錄入信息進(jìn)行格式化存儲，便于后續(xù)交換與分析; 威脅信息交換接口支持XML、excle、HTML、STIX、OpenIOC等多種格式的威脅交換信息接口，用于批量威脅信息的雙向交換; 網(wǎng)絡(luò)爬蟲接口利用爬蟲技術(shù)等從各知名漏洞、威脅發(fā)布網(wǎng)站抓取所發(fā)布的最新漏洞、威脅公開時間、嚴(yán)重程度及受影響的系統(tǒng)、軟件版本等。如有可能，同時獲取漏洞發(fā)布網(wǎng)站的攻擊示例及漏洞驗證方法或修補方法等。

原始信息獲取完成后，對于各接口獲取的信息進(jìn)行統(tǒng)一解析與格式化處理，便于提供給威脅分析模塊進(jìn)行專項分析。

（3）威脅分析

根據(jù)匯總上來的基礎(chǔ)威脅信息，調(diào)用規(guī)則或發(fā)布給技術(shù)支撐單位、安全專家進(jìn)行專項分析，完成威脅類型分析、威脅嚴(yán)重程度分析、威脅影響范圍分析、威脅起始時間判斷、應(yīng)對措施建議分析。提供知識庫功能，借助知識庫完成相關(guān)威脅分析，并且將本次分析結(jié)果更新到知識庫中。

（4）信息安全情報管理

根據(jù)分析完成的信息安全情報，可以進(jìn)行情報通報、跟蹤處理、自動化應(yīng)用、防護(hù)有效性檢測、情報變更等管理流程，幫助電網(wǎng)企業(yè)快速、有效、完整、閉環(huán)的根據(jù)信息安全情報完成大規(guī)模信息系統(tǒng)的安全防護(hù)和預(yù)警行動。

2.2.2 平臺主要功能及實現(xiàn)

（1）總覽視圖

提供了信息安全情報的新增數(shù)量、討論數(shù)量、相關(guān)消息和請求以及各威脅在分析進(jìn)展、影響等級等方面的分析情況。

圖3 總覽視圖

（2）情報詳情查看

圖4 情報詳情

可以查看選定情報的詳細(xì)信息。包括威脅編號、提交機(jī)構(gòu)、提交人、提交日期、分類、威脅等級、發(fā)布范圍、分析進(jìn)展、威脅描述、發(fā)布狀態(tài)信息。如果威脅的屬性與其他威脅的屬性一致，將產(chǎn)生威脅的關(guān)聯(lián)，這對于識別同一攻擊組織非常有用。如圖4所示[4]。

（3）情報屬性

情報屬性是用來詳細(xì)說明相關(guān)信息的數(shù)據(jù)格式。借助屬性可以將情報格式化，并且可以使部分字段能夠成為可用于安全檢測的特征?？梢詣?chuàng)建的屬性主要包括說明類、IP地址類、域名、文件名、文件HASH、文件路徑、Email發(fā)件人、其他檢測特征等類型。同樣支持上傳惡意軟件樣本作為附件，同時惡意軟件樣本將自動被HASH作為屬性。為了防止惡意軟件被無意執(zhí)行，上傳的惡意軟件樣本將被加密壓縮保存。

圖5 情報屬性

（4）通報預(yù)警

支持將上述信息安全情報向有關(guān)單位、部門進(jìn)行通報，并跟蹤完成預(yù)警行動和預(yù)防性處置。

圖6 通報預(yù)警

3 結(jié)束語

電網(wǎng)信息安全漏洞集中管控平臺的建設(shè)中，在技術(shù)上和應(yīng)用上采用微服務(wù)架構(gòu)和統(tǒng)一存儲架構(gòu)解決平臺功能變更頻繁、變更周期短、數(shù)據(jù)量較大的問題，在應(yīng)用上盡可能提供自動化工具實現(xiàn)信息安全情報的收集、應(yīng)用，有效的降低了IT設(shè)備安全防護(hù)措施應(yīng)用的時間周期，并支持閉環(huán)管理。

后續(xù)應(yīng)基于本平臺，利用大數(shù)據(jù)分析技術(shù)和信息安全審計技術(shù)，可實現(xiàn)攻擊者畫像，以開展更有針對性的防護(hù)與反制。

[1]王曉甜，張玉清.安全漏洞自動收集系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機(jī)工程，2006.

[2]葛先軍，李志勇，何友.漏洞信息數(shù)據(jù)挖掘系統(tǒng)設(shè)計[J].計算機(jī)工程與設(shè)計，2009.

[3]顧韻華，張金喜，李佩.網(wǎng)絡(luò)安全漏洞信息采集系統(tǒng)的研究[J].計算機(jī)工程與設(shè)計，2011.

[4]Common Vulnerabilities and Exposures(CVE)[EB/OL].h ttp://eve.mitre.org/,2016.

[5]高寅生.安全漏洞庫設(shè)計與實現(xiàn).微電子學(xué)與計算機(jī)，20 07.

[6]About NVD[EB/OL].http://nvd.nist.gov/about.cfm/，2016.

[7]About Us.& More About US-CERT [EB/OL].http:// www.uscert.gov/aboutus.html.

[8]Common vulnerability scoring system[EB/OL].http://w ww.first.org/cvss/.